LAN에 대한 여러가지 정의가 있을 수 있겠는데, 브로드캐스팅 되는 네트워크 세그먼트라고 하는게 가장 이해하기 쉬운 설명인 것 같다. 아래 네트워크 구성도를 보자.
그림은 두 개의 LAN 1과 LAN 2의 구성을 보여주고 있다. 각 LAN은 L2 Switch로 묶여있다. L2 스위치에 있는 Host들은 하나의 브로드캐스팅 영역에 묶여 있다. LAN 영역의 호스트들은 L3 스위치를 통해서 WAN(인터넷)영역으로 패킷을 보낼 수 있다. LAN 1과 LAN 2간의 통신은 (Bridge 역할을 하는) aggregation switch를 통해서 이루어진다.
VLAN
설명을 쉽게 하기 위해서 위의 네트워크가 다음과 같은 목적으로 구성돼 있다고 가정했다.
인터넷 서비스를 개발하는 회사다.
LAN 1 : 개발팀 소프트웨어 개발을 위해서 사용하는 네트워크다.
LAN 2 : 개발한 소프트웨어를 테스트 하기 위해서 사용하는 네트워크다.
LAN을 이용해서 네트워크를 분리하는 이유는 대표적인 이유는 다음과 같다.
보안 : 개발팀이 사용하는 네트워크와 테스트 네트워크는 보안수준이 다를 것이며, 관리 주체도 다를 것이다. 테스트 네트워크에는 운영조직이나 서비스 조직이 사용할 수도 있을 건데, 개발팀 네트워크는 오직 개발자만 사용하도록 구성해야 할 것이다.
트래픽 분리 : 테스트 네트워크에서 테스트를 진행하다보면 대량의 트래픽이 발생할 수 있다. 만약 하나의 LAN에 묶여있다면, 테스트 트래픽이 개발 트래픽에 영향을 줄 수 있을 것이다. 반대로 개발 트래픽이 테스트 트래픽이 영향을 줄 수도 있을 것이다.
이때, 새로운 서비스 개발을 위해서 협력 개발 업체의 개발자가 합류했다고 가정해 보자. 그들을 위해서 새로운 네트워크를 구성하기로 했다. Switch를 하나 더 두는 방법이 있긴 하지만 Switch 구입, 회선 준비 등 여간 귀찮은게 아니다. 규모가 작다면 물리적으로 구성할 수 있겠지만, 규모가 커지면 쉬운일이 아니다.
VLAN을 사용하면, 물리적인 한계를 벗어나서 가상의 LAN을 구성할 수 있다.
VLAN Protocol 개요
VLAN을 위해서 사용하는 프로토콜은 IEEE 802.1Q에 정의돼 있다. IEEE 802.1Q는 VLAN tagging라고 부르기도 하는데, 패킷에 VLAN 정보를 tagging을 하기 때문이다.
그림은 802.1Q헤더 정보를 보여준다. VLAN 헤더의 크기는 32bit로 이중 12bit가 VLAN 태깅을 위해서 사용할 수 있다. 태깅을 위해 할당된 공간이 12bit이니 4096개의 VLAN을 만들 수 있다는 의미가 된다.
4096개라면 상당히 큰 숫자라고 할 수 있겠지만 Cloud 데이터 센터를 구축하기에는 많이 모자란 크기다. 클라우드 데이터센터는 multi tenant를 기본 기능으로 하고 있는데, VLAN으로는 4096의 유저만 수용할 수 있기 때문이다.
Cloud 환경이라면 Double Tagging이나 VXLAN을 살펴볼 만하다. 이들에 대한 내용은 L2환경에서의 네트워크 가상화을 참고.
VLAN을 구성하는 방법은 간단하다. 같은 VLAN으로 묶기 원하는 HOST를 동일한 VLAN ID로 태깅을 한다.
4개의 호스트를 VLAN ID 12로 태깅을 했다. 이제 이 4개의 호스트는 하나의 브로드캐스팅 도메인에 묶인다.
Trunk Port
서로 다른 VLAN간의 통신은 라우터를 경유해야만한다. 하지만 같은 VLAN이라면 다른 스위치라도 통신이 가능하다. 이를 위해서 사용하는 기술이 trunk port로, 하나의 포트를 이용해서 여러개의 VLAN을 처리할 수 있도록 한다.
VLAN 100에서 부터 200까지 사용한다면, VLAN 100 ~ 200 구간을 묶는 trunk port를 구성하면 된다.
Native VLAN
Native VLAN이란 포트에 기본적으로 할당된 VLAN ID를 의미한다. Trunk 구간은 VLAN이 드나들 수 있는 구간인데, tagging이 붙어있지 않는 패킷이 trunk 구간에 진입하면 native VLAN 값을 설정해서 보낸다. 만약 native VLAN을 설정하지 않았다면 default native vlan 값인 1이 태깅된다.
Contents
LAN
VLAN
- 인터넷 서비스를 개발하는 회사다.
- LAN 1 : 개발팀 소프트웨어 개발을 위해서 사용하는 네트워크다.
- LAN 2 : 개발한 소프트웨어를 테스트 하기 위해서 사용하는 네트워크다.
LAN을 이용해서 네트워크를 분리하는 이유는 대표적인 이유는 다음과 같다.- 보안 : 개발팀이 사용하는 네트워크와 테스트 네트워크는 보안수준이 다를 것이며, 관리 주체도 다를 것이다. 테스트 네트워크에는 운영조직이나 서비스 조직이 사용할 수도 있을 건데, 개발팀 네트워크는 오직 개발자만 사용하도록 구성해야 할 것이다.
- 트래픽 분리 : 테스트 네트워크에서 테스트를 진행하다보면 대량의 트래픽이 발생할 수 있다. 만약 하나의 LAN에 묶여있다면, 테스트 트래픽이 개발 트래픽에 영향을 줄 수 있을 것이다. 반대로 개발 트래픽이 테스트 트래픽이 영향을 줄 수도 있을 것이다.
이때, 새로운 서비스 개발을 위해서 협력 개발 업체의 개발자가 합류했다고 가정해 보자. 그들을 위해서 새로운 네트워크를 구성하기로 했다. Switch를 하나 더 두는 방법이 있긴 하지만 Switch 구입, 회선 준비 등 여간 귀찮은게 아니다. 규모가 작다면 물리적으로 구성할 수 있겠지만, 규모가 커지면 쉬운일이 아니다. VLAN을 사용하면, 물리적인 한계를 벗어나서 가상의 LAN을 구성할 수 있다.VLAN Protocol 개요
Trunk Port
Native VLAN
VLAN 구성 테스트
history
Recent Posts
Archive Posts
Tags